所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置动态ARP检测(DAI)

配置动态ARP检测(DAI)

背景信息

为了防御中间人攻击,避免合法用户的数据被中间人窃取,可以在接入设备上使能动态ARP检测(DAI)功能。设备会将ARP报文对应的源IP、源MAC、接口、VLAN信息和绑定表中的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。

可在接口视图或VLAN视图下使能动态ARP检测功能。在接口视图下使能时,则对该接口收到的所有ARP报文进行绑定表匹配检查;在VLAN视图下使能时,则对加入该VLAN的接口收到的属于该VLAN的ARP报文进行绑定表匹配检查。

当设备丢弃的不匹配绑定表的ARP报文数量较多时,如果希望设备能够以告警的方式提醒网络管理员,则可以使能动态ARP检测丢弃报文告警功能。当丢弃的ARP报文数超过告警阈值时,设备将产生告警。

说明:

当网关设备上部署了DHCP触发ARP学习功能时,则可以在网关设备上部署本功能。

本功能仅适用于DHCP Snooping场景。设备使能DHCP Snooping功能后,当DHCP用户上线时,设备会自动生成DHCP Snooping绑定表;对于静态配置IP地址的用户,设备不会生成DHCP Snooping绑定表,所以需要手动添加静态绑定表。DHCP Snooping的配置,请参见DHCP Snooping配置静态绑定表的配置,请参见配置基于静态绑定表的IPSG

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令interface interface-type interface-number,进入接口视图;或者执行命令vlan vlan-id,进入VLAN视图。
  3. 执行命令arp anti-attack check user-bind enable,使能动态ARP检测功能(即对ARP报文进行绑定表匹配检查功能)。

    缺省情况下,未使能动态ARP检测功能。

    在系统资源充足的情况下,设备最多支持在10个VLAN下使能DAI功能。

  4. (可选)接口视图下执行命令arp anti-attack check user-bind check-item { ip-address | mac-address | vlan } *,或者VLAN视图下执行命令arp anti-attack check user-bind check-item { ip-address | mac-address | interface } *,配置对ARP报文进行绑定表匹配检查的检查项。

    缺省情况下,对ARP报文的IP地址、MAC地址、VLAN和接口信息都进行检查。

    如果希望仅匹配绑定表某一项或某两项内容的特殊ARP报文也能够通过,则可以配置对ARP报文进行绑定表匹配检查时只检查某一项或某两项内容。

    说明:

    IP地址包括IPv4地址和IPv6地址,即配置ARP报文绑定表匹配检查的检查项为IP地址时,设备将对ARP报文的IPv4地址和IPv6地址都进行绑定表匹配检查。

    指定ARP报文绑定表匹配检查项对配置了静态绑定表的用户不起作用,即设备仍然按照静态绑定表的内容对ARP报文进行绑定表匹配检查。

    当同时在VLAN和加入该VLAN的接口下配置了动态ARP检测功能,设备会先按照接口下配置的检查选项对ARP报文进行绑定表匹配检查,如果ARP报文检查通过,设备再根据VLAN下配置的检查选项进行检查。

  5. (可选)接口视图下执行命令arp anti-attack check user-bind alarm enable,使能动态ARP检测丢弃报文告警功能。

    缺省情况下,未使能动态ARP检测丢弃报文告警功能。

    说明:

    由于动态ARP检测丢弃报文告警功能针对的是接口下DAI功能丢弃的ARP报文数告警统计,因此建议不要同时在VLAN视图下配置命令arp anti-attack check user-bind enable以及在加入该VLAN的接口视图下配置命令arp anti-attack check user-bind alarm enable,避免VLAN下的DAI功能可能造成实际丢包数目和接口DAI告警统计值之间的偏差。

  6. (可选)接口视图下执行命令arp anti-attack check user-bind alarm threshold threshold,配置动态ARP检测丢弃报文告警阈值。

    缺省情况下,动态ARP检测丢弃报文告警阈值为系统视图下arp anti-attack check user-bind alarm threshold threshold命令配置的值。如果系统视图下没有配置该值,则接口下缺省的告警阈值为100。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:32464

下载量:937

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页